Password rivelate per centinaia di migliaia di server
La password è un dispositivo senza il quale al giorno d’oggi non potremmo vivere (quasi sicuramente). E questa invenzione la dobbiamo a Fernando Corbatò. Ma quando Corbatò gettò le basi per questo strumento potentissimo, alla base della sicurezza dei giorni nostri, sicuramente non era a conoscenza di quanto sarebbe stato facile “rubarlo“. Ed è quello che è successo ad oltre cinquecentomila dispositivi. Sono stati hackerati e derubati delle proprie credenziali.
Molto spesso il furto delle credenziali è una colpa tanto dell’hacker, che le ruba, quanto dell’utente proprietario, che usa password molto semplici. Ed è proprio questo uno dei casi in cui il furto è stato possibile proprio per la semplicità della combinazione di nome utente e password. Molte delle password rubate erano password di default, ad esempio di router, altre erano combinazioni molto semplici, con password deboli e nomi utente scontati.
Come sono state rubate le password: Telnet e le bot lists
Le password che sono state rubate sono riconducibili ad account del servizio Telnet. Telnet è un protocollo di rete utilizzato di solito per fornire sessioni di login remoto da riga di comando tra host su internet. È un protocollo client-server che si basa sul protocollo TCP. Uno dei problemi principali di Telnet è che questo sistema non cripta i dati scambiati durante la connessione, neanche le credenziali. È quindi molto semplice rubare eventuali dati.
A causa delle molte vulnerabilità di Telnet quindi, l’hacker ha compilato una lista facendo una scansione di tutti i dispositivi in internet che esponevano la loro porta Telnet. Dopo ciò, l’hacker ha tentato di rubare le password, e quindi accedere ai servizi Telnet in due modi. In primis ha provato ad usare la combinazione di default di fabbrica di username e password. In secondo luogo ha provato con combinazioni personalizzate ma molto semplici.
E proprio grazie a questo approccio ha potuto creare una lista. Questo tipo di liste vengono chiamate bot lists. Gli hacker dopo le scansioni in internet per creare le bot lists, usano le stesse per connettersi ai device in questione ed installare dei malware. Molte di queste combinazioni non sono più valide, cambiate dai gestori dei servizi. Ma sicuramente ce ne sono ancora moltissime valide, ed è quindi evidente come questo attacco, e in generale gli attacchi di questo tipo, siano un grande rischio per la sicurezza delle reti e dei servizi in internet.